我們發現有這樣一個問題可用來判斷IT部門的安全能力。這個問題并不是有關他們的認證、預算、防火墻或者下一代行為分析工具，這些常見的信息安全做法都無法有效緩解簡單安全配置錯誤帶來的風險。這個問題是：是否所有用戶都有對工作站的管理權限。那么，為什么這個問題可以判斷他們的信息安全能力呢?

我們聽到IT部門的借口通常包括這幾樣。他們解釋說他們的軟件需要管理訪問權限，如果沒有就無法運行。其他人則解釋這樣可讓用戶更容易地對應用進行軟件更新，因為讓用戶可自己安裝軟件，IT部門就不會有太多工作要做。

放下借口

這些借口有一定的道理。有些應用確實需要對工作站的管理權限訪問，這些應用通常需要直接訪問硬件，它們不使用標準的Windows API。這些類型的應用示例包括集成自定義CD/DVD刻錄工具或者硬件許可證加密狗。然而，這些應用例外并不足以讓IT部門為所有用戶提供管理訪問權限;畢竟這樣做的風險太高。

同時，大多數IT部門都缺乏人才資源，IT部門的員工都需要做各種各樣的事情。檢查每個應用并確定適當的安全權限已經成為IT遙遠的記憶。

新應用經濟和DevOps式管理讓系統管理技能黯然失色。不僅沒有人有時間來正確配置安全，當他們試圖花時間來構建安全的系統時，實際上還會被視為障礙。沒有人意識到花費在安全配置系統的時間可確保企業的安全投資獲得最大的投資回報率。

那些允許所有用戶對Windows計算機具有管理訪問權限的企業更容易受到攻擊。攻擊者只需要讓受害者訪問帶有惡意有效載荷的網頁或者打開附件即可，隨后該有效載荷可通過受害者的登錄憑證安裝在所有用戶機器中。攻擊者還可禁用防病毒軟件允許他們使用更多工具進行進一步攻擊。他們甚至可清除事件日志來掩蓋攻擊者的蹤跡并防止被發現。

大多數企業沒有意識到的最大問題是，在這樣的攻擊情況中，攻擊者還可訪問存在于被攻擊機器中所有的憑證信息。Mimikatz等工具可用于直接從系統內存獲取這些秘密。復雜的27個字符的密碼都會失去作用，即使是上世紀90年代的舊工具Cain&Abel都可用于從Windows電腦提取憑證信息。

最初配置系統的電腦技術人員已經緩存本地存儲的憑證信息，這些都可以被訪問以及破解，電腦中運行的服務賬號也容易受到攻擊。通過利用這些憑證信息，攻擊者可訪問網絡中所有計算機，并可通過有效的登錄信息輕松地橫向移動，讓檢測幾乎變得不可能。他們可利用這些技術訪問一臺電腦，最終獲取對網絡的域管理員權限，這樣的話，我們將看到嚴重的數據泄露事故。

保護您的企業

對于這種攻擊，最佳防御是嚴格限制管理權限以減少曝光。這樣，當攻擊者試圖在工作站升級其權限，這樣您就有機會可抓到他們。

大多數需要管理權限的應用只需要訪問“C:Program Files”目錄或者“C:Windows”下的系統目錄。它們還可能需要能夠寫入到用戶配置文件外注冊表區域，例如“HKLM”。微軟Sysinternals中的Process Explorer和Process Monitor等免費工具可有效識別注冊表及文件系統中的這些權限問題。

然而，如果沒有投入所需的時間來配置，這些工具將無法發揮作用。IT人員可與管理層合作，向他們說明妥善管理的機器可減少支持技術基礎設施的整體成本。這種成本降低而非風險降低技術會讓大多數企業更好地理解以及作出響應。如果所有這些都失效，則應該考慮向管理層展示mimikatz或類似工具清除測試計算機中所有憑證的過程。如果這都不能吸引他們的注意力，那就沒有其他了。